Bérlők közötti szinkronizálás konfigurálása a PowerShell vagy a Microsoft Graph API használatával
Ez a cikk a bérlők közötti szinkronizálás Microsoft Graph PowerShell vagy Microsoft Graph API használatával történő konfigurálásához szükséges legfontosabb lépéseket ismerteti. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépítja és törli a B2B-felhasználókat a célbérlében. A Microsoft Entra Felügyeleti központ részletes lépéseit a bérlők közötti szinkronizálás konfigurálása című témakörben találja.
Előfeltételek
Forrásbérl
- Microsoft Entra ID P1 vagy P2 licenc. További információ: Licenckövetelmények.
- Biztonsági rendszergazdai szerepkör a bérlők közötti hozzáférési beállítások konfigurálásához.
- Hibrid identitásadminisztrátori szerepkör a bérlők közötti szinkronizálás konfigurálásához.
- Felhőalkalmazás-rendszergazdai vagy alkalmazásadminisztrátori szerepkör a felhasználók konfigurációhoz rendeléséhez és egy konfiguráció törléséhez.
- Globális rendszergazdai szerepkör a szükséges engedélyekhez való hozzájáruláshoz.
Célbérl
- Microsoft Entra ID P1 vagy P2 licenc. További információ: Licenckövetelmények.
- Biztonsági rendszergazdai szerepkör a bérlők közötti hozzáférési beállítások konfigurálásához.
- Globális rendszergazdai szerepkör a szükséges engedélyekhez való hozzájáruláshoz.
1. lépés: Bejelentkezés a célbérbe
Célbérl
Indítsa el a PowerShellt.
Ha szükséges, telepítse a Microsoft Graph PowerShell SDK-t.
Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.
$SourceTenantId = "<SourceTenantId>" $TargetTenantId = "<TargetTenantId>"
A Connect-MgGraph paranccsal jelentkezzen be a célbérbe, és járuljon hozzá a következő szükséges engedélyekhez.
Policy.Read.All
Policy.ReadWrite.CrossTenantAccess
Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
2. lépés: Felhasználói szinkronizálás engedélyezése a célbérlelőben
Célbérl
A célbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a célbérlő és a forrásbérlő között. Használja a forrás-bérlő azonosítóját a kérelemben.
Ha megjelenik a hiba
New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists
, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.$Params = @{ TenantId = $SourceTenantId } New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration B2BCollaborationInbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BCollaborationOutbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BDirectConnectInbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BDirectConnectOutbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting IdentitySynchronization : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner InboundTrust : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust IsServiceProvider : TenantId : <SourceTenantId> TenantRestrictions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity], [crossCloudMeetingConfiguration, System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing, System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
Az Invoke-MgGraphRequest paranccsal engedélyezheti a felhasználók szinkronizálását a célbérlében.
Ha hibaüzenet jelenik
Request_MultipleObjectsWithSameKeyValue
meg, lehet, hogy már rendelkezik egy meglévő szabályzattal. További információ: Tünet – Request_MultipleObjectsWithSameKeyValue hiba.$Params = @{ userSyncInbound = @{ isSyncAllowed = $true } } Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
A Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal ellenőrizze
IsSyncAllowed
, hogy Igaz értékre van-e állítva.(Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
IsSyncAllowed ------------- True
3. lépés: Meghívások automatikus beváltása a célbérlelőben
Célbérl
A célbérlőben az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a bejövő hozzáférésre vonatkozó hozzájárulási kéréseket.
$AutomaticUserConsentSettings = @{ "InboundAllowed"="True" } Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
4. lépés: Bejelentkezés a forrásbérbe
Forrásbérl
Indítsa el a PowerShell-példányt.
Kérje le a forrás- és célbérlõk bérlőazonosítóját, és inicializálja a változókat.
$SourceTenantId = "<SourceTenantId>" $TargetTenantId = "<TargetTenantId>"
A Connect-MgGraph paranccsal jelentkezzen be a forrásbérbe, és járuljon hozzá a következő szükséges engedélyekhez.
Policy.Read.All
Policy.ReadWrite.CrossTenantAccess
Application.ReadWrite.All
Directory.ReadWrite.All
AuditLog.Read.All
Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
5. lépés: Meghívások automatikus beváltása a forrásbérlében
Forrásbérl
A forrásbérlőben a New-MgPolicyCrossTenantAccessPolicyPartner paranccsal hozzon létre egy új partnerkonfigurációt egy bérlőközi hozzáférési szabályzatban a forrásbérlő és a célbérlő között. Használja a cél bérlőazonosítót a kérelemben.
Ha megjelenik a hiba
New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists
, lehet, hogy már rendelkezik egy meglévő konfigurációval. További információ: Tünet – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba.$Params = @{ TenantId = $TargetTenantId } New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration B2BCollaborationInbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BCollaborationOutbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BDirectConnectInbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting B2BDirectConnectOutbound : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting IdentitySynchronization : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner InboundTrust : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust IsServiceProvider : TenantId : <TargetTenantId> TenantRestrictions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity], [crossCloudMeetingConfiguration, System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing, System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
Az Update-MgPolicyCrossTenantAccessPolicyPartner paranccsal automatikusan beválthatja a meghívókat, és letilthatja a kimenő hozzáférésre vonatkozó hozzájárulási kéréseket.
$AutomaticUserConsentSettings = @{ "OutboundAllowed"="True" } Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
6. lépés: Konfigurációs alkalmazás létrehozása a forrásbérlében
Forrásbérl
A forrásbérlőben az Invoke-MgInstantiateApplicationTemplate paranccsal vegyen fel egy konfigurációs alkalmazáspéldányt a Microsoft Entra alkalmazáskatalógusából a bérlőbe.
Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
A Get-MgServicePrincipal paranccsal kérje le a szolgáltatásnév azonosítóját és az alkalmazásszerepkör-azonosítót.
Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
AccountEnabled : True AddIns : {} AlternativeNames : {} AppDescription : AppDisplayName : Fabrikam AppId : <AppId> AppManagementPolicies : AppOwnerOrganizationId : <AppOwnerOrganizationId> AppRoleAssignedTo : AppRoleAssignmentRequired : True AppRoleAssignments : AppRoles : {<AppRoleId>} ApplicationTemplateId : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7 ClaimsMappingPolicies : CreatedObjects : CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue DelegatedPermissionClassifications : DeletedDateTime : Description : DisabledByMicrosoftStatus : DisplayName : Fabrikam Endpoints : ErrorUrl : FederatedIdentityCredentials : HomeRealmDiscoveryPolicies : Homepage : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z Id : <ServicePrincipalId> Info : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl KeyCredentials : {} LicenseDetails : ...
Inicializáljon egy változót a szolgáltatásnév-azonosítóhoz.
Ügyeljen arra, hogy az alkalmazásazonosító helyett a szolgáltatásnév-azonosítót használja.
$ServicePrincipalId = "<ServicePrincipalId>"
Inicializáljon egy változót az alkalmazásszerepkör-azonosítóhoz.
$AppRoleId= "<AppRoleId>"
7. lépés: A célbérlelőhöz való kapcsolat tesztelése
Forrásbérl
A forrásbérlében az Invoke-MgGraphRequest paranccsal tesztelje a kapcsolatot a célbérlőhöz, és ellenőrizze a hitelesítő adatokat.
$Params = @{ "useSavedCredentials" = $false "templateId" = "Azure2Azure" "credentials" = @( @{ "key" = "CompanyId" "value" = $TargetTenantId } @{ "key" = "AuthenticationType" "value" = "SyncPolicy" } ) } Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
8. lépés: Kiépítési feladat létrehozása a forrásbérlében
Forrásbérl
A forrásbérlében a kiépítés engedélyezéséhez hozzon létre egy kiépítési feladatot.
Határozza meg a használni kívánt szinkronizálási sablont, például
Azure2Azure
.Egy sablon előre konfigurált szinkronizálási beállításokkal rendelkezik.
A forrásbérlében a New-MgServicePrincipalSynchronizationJob paranccsal hozzon létre egy sablonon alapuló kiépítési feladatot.
New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
Id : <JobId> Schedule : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule Schema : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema Status : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled} TemplateId : Azure2Azure AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro nization/jobs/$entity]}
Inicializáljon egy változót a feladatazonosítóhoz.
$JobId = "<JobId>"
9. lépés: Hitelesítő adatok mentése
Forrásbérl
A forrásbérlében az Invoke-MgGraphRequest paranccsal mentse a hitelesítő adatait.
$Params = @{ "value" = @( @{ "key" = "AuthenticationType" "value" = "SyncPolicy" } @{ "key" = "CompanyId" "value" = $TargetTenantId } ) } Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
10. lépés: Felhasználó hozzárendelése a konfigurációhoz
Forrásbérl
A bérlők közötti szinkronizálás működéséhez legalább egy belső felhasználót hozzá kell rendelni a konfigurációhoz.
A forrásbérlőben a New-MgServicePrincipalAppRoleAssignedTo paranccsal rendeljen hozzá egy belső felhasználót a konfigurációhoz.
$Params = @{ PrincipalId = "<PrincipalId>" ResourceId = $ServicePrincipalId AppRoleId = $AppRoleId } New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
AppRoleId : <AppRoleId> CreatedDateTime : 7/31/2023 10:27:12 PM DeletedDateTime : Id : <Id> PrincipalDisplayName : User1 PrincipalId : <PrincipalId> PrincipalType : User ResourceDisplayName : Fabrikam ResourceId : <ServicePrincipalId> AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
11. lépés: Igény szerinti kiépítés tesztelése
Forrásbérl
Most, hogy már rendelkezik egy konfigurációval, tesztelheti az igény szerinti kiépítést az egyik felhasználójával.
A forrásbérlében a Get-MgServicePrincipalSynchronizationJobSchema paranccsal kérje le a sémaszabály azonosítóját.
$SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId $SynchronizationSchema.SynchronizationRules | Format-List
ContainerFilter : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter Editable : True GroupFilter : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter Id : <RuleId> Metadata : {defaultSourceObjectMappings, supportsProvisionOnDemand} Name : USER_INBOUND_USER ObjectMappings : {Provision Azure Active Directory Users, , , ...} Priority : 1 SourceDirectoryName : Azure Active Directory TargetDirectoryName : Azure Active Directory (target tenant) AdditionalProperties : {}
Inicializáljon egy változót a szabályazonosítóhoz.
$RuleId = "<RuleId>"
A New-MgServicePrincipalSynchronizationJobOnDemand paranccsal igény szerint kiépíteni egy tesztfelhasználót.
$Params = @{ Parameters = @( @{ Subjects = @( @{ ObjectId = "<UserObjectId>" ObjectTypeName = "User" } ) RuleId = $RuleId } ) } New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
Key : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo Value : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User 'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId": "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use ... AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
12. lépés: A kiépítési feladat indítása
Forrásbérl
Most, hogy a kiépítési feladat konfigurálva lett, a forrásbérlében használja a Start-MgServicePrincipalSynchronizationJob parancsot a kiépítési feladat elindításához.
Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
13. lépés: A kiépítés monitorozása
Forrásbérl
Most, hogy a kiépítési feladat fut a forrásbérlőben, a Get-MgServicePrincipalSynchronizationJob paranccsal monitorozza az aktuális kiépítési ciklus előrehaladását, valamint az aktuális statisztikákat, például a célrendszerben létrehozott felhasználók és csoportok számát.
Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
Id : <JobId> Schedule : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule Schema : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema Status : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled} TemplateId : Azure2Azure AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro nization/jobs/$entity]}
A kiépítési feladat állapotának monitorozása mellett a Get-MgAuditLogProvisioning paranccsal lekérheti a kiépítési naplókat, és lekérheti az összes előforduló kiépítési eseményt. Például lekérdezhet egy adott felhasználót, és megállapíthatja, hogy sikeresen kiépítették-e őket.
Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
ActivityDateTime : 7/31/2023 12:08:17 AM ActivityDisplayName : Export AdditionalDetails : {Details, ErrorCode, EventName, ipaddr...} Category : ProvisioningManagement CorrelationId : aaaa0000-bb11-2222-33cc-444444dddddd Id : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479 InitiatedBy : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1 LoggedByService : Account Provisioning OperationType : Result : success ResultReason : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant) TargetResources : {<ServicePrincipalId>, } AdditionalProperties : {} ActivityDateTime : 7/31/2023 12:08:17 AM ActivityDisplayName : Export AdditionalDetails : {Details, ErrorCode, EventName, ipaddr...} Category : ProvisioningManagement CorrelationId : aaaa0000-bb11-2222-33cc-444444dddddd Id : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264 InitiatedBy : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1 LoggedByService : Account Provisioning OperationType : Result : success ResultReason : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant) TargetResources : {<ServicePrincipalId>, } AdditionalProperties : {} ActivityDateTime : 7/31/2023 12:08:14 AM ActivityDisplayName : Synchronization rule action AdditionalDetails : {Details, ErrorCode, EventName, ipaddr...} Category : ProvisioningManagement CorrelationId : aaaa0000-bb11-2222-33cc-444444dddddd Id : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395 InitiatedBy : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1 LoggedByService : Account Provisioning OperationType : Result : success ResultReason : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant)) TargetResources : {<ServicePrincipalId>, } AdditionalProperties : {}
Hibaelhárítási tippek
Hibajelenség – Nem megfelelő jogosultságokkal kapcsolatos hiba
Amikor megpróbál végrehajtani egy műveletet, a következőhöz hasonló hibaüzenet jelenik meg:
code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.
Ok
Vagy a bejelentkezett felhasználó nem rendelkezik megfelelő jogosultságokkal, vagy hozzá kell adnia a szükséges engedélyek egyikéhez.
Megoldás
Győződjön meg arról, hogy a szükséges szerepkörök vannak hozzárendelve. Tekintse meg a cikk korábbi előfeltételeit .
Amikor a Connect-MgGraph használatával jelentkezik be, győződjön meg arról, hogy megadja a szükséges hatóköröket. Lásd : 1. lépés: Bejelentkezés a célbérbe és 4. lépés: Jelentkezzen be a forrásbérlelőbe a cikk korábbi részében.
Hiba – Új MgPolicyCrossTenantAccessPolicyPartner_Create hiba
Amikor új partnerkonfigurációt próbál létrehozni, a következőhöz hasonló hibaüzenet jelenik meg:
New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.
Ok
Valószínűleg olyan konfigurációt vagy objektumot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.
Megoldás
Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.
A Get-MgPolicyCrossTenantAccessPolicyPartner paranccsal listázhatja a meglévő objektumot.
Ha rendelkezik egy meglévő objektummal, előfordulhat, hogy frissítenie kell az Update-MgPolicyCrossTenantAccessPolicyPartner használatával
Hiba – Request_MultipleObjectsWithSameKeyValue hiba
Amikor megpróbálja engedélyezni a felhasználói szinkronizálást, a következőhöz hasonló hibaüzenet jelenik meg:
Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}
Ok
Valószínűleg olyan szabályzatot próbál létrehozni, amely már létezik, valószínűleg egy korábbi konfigurációból.
Megoldás
Ellenőrizze a szintaxist, és hogy a megfelelő bérlőazonosítót használja-e.
A beállítás listázásához
IsSyncAllowed
használja a Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization parancsot.(Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
Ha rendelkezik meglévő szabályzattal, előfordulhat, hogy a felhasználó szinkronizálásának engedélyezéséhez a Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization paranccsal kell frissítenie.
$Params = @{ userSyncInbound = @{ isSyncAllowed = $true } } Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params